`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Євген Куліков

И снова безопасность против конфиденциальности

+22
голоса

Уже совсем скоро в силу вступит Общеевропейский регламент по защите данных (General Data Protection Regulation, GDPR). И хотя последствия нового законодательного регулирования обсуждаются достаточно давно, одному из них уделяется незаслуженно мало внимания. А между тем, оно может поставить под угрозу безопасность пользователей.

Речь идет о конфликте между обязательствами в рамках GDPR и сервисом WHOIS – глобальной системой, управляемой ICANN (Internet Corporation for Assigned Names and Numbers), которая определяет, кому принадлежит домен.

Напомним, WHOIS – это протокол, который позволяет найти имена и контактные данные владельцев домена. Он был создан ICANN еще в 1980-х. По сути, он является одним из старейших интернет-сервисов для проверки личности.

Система WHOIS является бесценным ресурсом для следователей и служб безопасности: предоставляемые им данные – это первая линия расследования при обнаружении вредоносной активности, учитывая, что эти данные являются публичными. Специалисты используют WHOIS для отслеживания распространения вредоносного ПО или обнаружения того, кто реально стоит за вредоносным доменом. ICANN имеет соглашения со всеми регистраторами доменов, требуя от них публиковать данные (ФИО, адреса электронной почты и номера телефонов) тех лиц, кто регистрирует домены через их сервис.

Несмотря на то, что охвачены все домены, требования системы WHOIS находятся под пристальным вниманием, т.к. уже давно бытует мнение, что система устарела. Даже ее сторонники готовы признать, что можно спокойно предоставлять ложную информацию, и по различным оценкам примерно 40% данных в этой системе могут быть неточными или недостоверными. Также верно, что WHOIS традиционно является источником информации для хакеров и спамеров, которые могут извлекать данные из баз данных WHOIS для запуска спама, контактов с зарегистрированными пользователями или кражи их персональных/ регистрационных данных. Это привело к распространению услуг, предлагающих скрыть данные в WHOIS, многие из которых предлагаются теми же компаниями, которые управляют доменами.

Но ближе к делу. В настоящее время протокол WHOIS публикует ФИО, адреса и номера телефонов тех лиц, которые зарегистрировали в Интернете домен. Однако, в соответствии с положениями GDPR данная система станет незаконной, т.к. она не запрашивает явного согласия этих людей перед публикацией их персонально идентифицируемых данных. Как уже упоминалось, некоторые компании уже предлагают возможность сокрытия персональных данных за отдельную плату, но и это тоже не соответствует требованиям GDPR.

Разрешить данную проблему совсем непросто. GDPR запрещает компаниям публиковать информацию, которая идентифицирует людей. А это означает, что соглашения между регистраторами доменов и ICANN в части WHOIS будут незаконны. И это также будет препятствовать работе по идентификации кибер-злоумышленников.

В настоящее время трудно интегрировать протокол WHOIS в нормативно-правовую базу GDPR. Нельзя утверждать, что публичный характер базы данных помогает достичь первоначальной цели, ради которой вся эта информация и собиралась (регистрация домена). Это означает, что сегодняшняя публичная система WHOIS не соответствует принципам конфиденциальности данных, заложенным в GDPR.

В ноябре 2017 г. ICANN заявила, что не будет возбуждать иски против регистраторов доменов за невыполнение договорных обязательств по управлению данными для регистрации доменов. Другими словами, организация не будет предпринимать каких-либо действий против тех, кто не будет публиковать данные WHOIS до тех пор, пока не будет найдено приемлемое решение, соответствующее требованиям GDPR. Тем не менее, существует риск того, что возрастающий объем персональных данных будет удален из публичной базы данных WHOIS, т.к. для компаний будет проще уничтожить конфиденциальные данные, чем тратить время на выполнение мер, требуемых со стороны GDPR. Фактически, крупнейший в мире регистратор доменных имен GoDaddy в январе объявил, что он откажется от публикации контактных данных WHOIS своих 17 млн. клиентов. Есть опасения, что и многие другие регистраторы последуют этому примеру после 25 мая.

Несколько лет назад ICANN создала рабочую группу для изучения способов защиты конфиденциальности при сохранении определенных уровней свободы и обеспечении доверия и конкурентоспособности с учетом защиты прав потребителей и общественных интересов. Ее рекомендации указывают на необходимость наличия системы «информирования», которая будет разработана для замены публично доступной информации в WHOIS. Еще в 2012 г. ICANN предложила решение, предусматривающее внедрение службы Registration Directory Service (RDS), которая работала бы с автоматически обновляемой базой данных, содержащей регистрационные данные доменов от всех аккредитованных регистраторов. По умолчанию эти данные будут «закрытыми» в отличие от сервиса WHOIS. Однако спустя шесть лет эта организация, как представляется, совершенно не приблизилась к внедрению этого решения.

ICANN находится в трудном положении. С одной стороны, она находится под давлением со стороны экспертов по безопасности, которые используют данные WHOIS для расследования преступлений или смягчения последствий атак. С другой стороны, эта организация также должна адаптироваться к требованиям GDPR для защиты персональных данных интернет-пользователей. Удастся ли найти жизнеспособный способ сбалансировать потребности правоохранительных органов и служб безопасности с правами пользователей на конфиденциальность?

What will happen with WHOIS when GDPR is implemented?

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+22
голоса

Напечатать Отправить другу

Читайте также

Я правильно понимаю что этот закон касается Евросоюза, но так как в интернете не понятно с юрисдикцией, то этот закон будет влиять на весь мир? Почему нужно переживать если закон не украинский?

Закон касается всех, кто каким-то образом прикасается (хранит, обрабатывает, передает и т.д.) персональные данные резидентов ЕС (даже не обязательно граждан).
Какой-нибудь украинский интернет-стартап или экспортер отлично подпадают под эту категорию. Варианта всего два: соответствовать или не вести дел с ЕС.
Уже даже есть сервисы GeoIP специально для этой цели (блокирует часть или всю функциональность если клиент пришел из ЕС). :)

> резидентов ЕС (даже не обязательно граждан).

Это кто? Компании?
Спасибо за ответ!

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT